LastPass соңғы үш айда екінші рет бұзылды. Оны дүние жүзінде 30 миллионнан астам адам пайдаланады. Password Manager LastPass хакерлердің пайдаланушы құпия сөздерінің шифрланған көшірмелерін және басқа да құпия деректерді, соның ішінде пайдаланушылардың есепшот мекенжайларын, телефон нөмірлерін және IP мекенжайларын ұрлағанын мойындады. Алғашында жүйе тамыз айында, қарашаның аяғында – желтоқсанның басында қандай деректердің ұрланғаны туралы ақпарат пайда болды, ал қазір компанияның блогында мәліметтер жарияланды.
LastPass пароль менеджері бұзылды, бұл хакерлердің өздері үшін өте сәтті болды, олар пайдаланушы деректеріне қол жеткізе алды, бірақ нақты не екені әлі белгісіз. Енді олардың профильдеріндегі қызмет дүкенінің пайдаланушылары құпия сөздерге қол жеткізуі мүмкін.
LastPass бұзуы және пайдаланушы деректерінің бұзылуы туралы ақпаратты қызмет өкілдерінің өзі де растады. Дегенмен, олар ағып кету дәрежесін де, шабуылдаушылардың қолына түскен ақпараттың сипатын да мұқият жасырады, сондықтан әзірге бүкіл әлем бойынша миллиондаған адамдар болып табылатын барлық LastPass пайдаланушылары қауіп төндіреді. EarthWeb порталының мәліметі бойынша, 2022 жылдың қазан айындағы жағдай бойынша LastPass пайдаланушы базасы 33 миллион адамды құрады.
Материал шыққан кезде, LastPass өкілдері жеке онлайн сақтау қоймасында орналасқан пайдаланушылардың құпия сөздерінің ағып кетуін растамады, бірақ жоққа шығармады. Дегенмен, хакерлік шабуылдың дәл осындай нәтижесінің қаупі бар. Сонымен қатар, LastPass өзінің 14 жыл ішінде құпия сөздердің бірнеше рет ағып кетуіне жол бергенін ескере отырып, бұл жағдайда тәуекел жоғары.
Мен не істеуім керек?
Пайдаланушылар істеуі керек бірінші нәрсе - бұлтта қандай құпия сөздер сақталғанын көру және шабуылдаушылар оларға арнайы жеткенге дейін оларды мүмкіндігінше тез өзгерту. Көптеген адамдар, мысалы, мұндай менеджерлерде Интернет-банктен немесе корпоративтік электрондық поштадан құпия сөздерді сақтайды.
Екінші қадам - LastPass ауыстыру болмаса, кем дегенде офлайн режимінде жұмыс істейтіндердің ішінен сақтық көшірме құпиясөз менеджерін табу. Мұндай бағдарламалар құпия сөздердің дерекқорын тікелей пайдаланушының құрылғысында сақтайды (көбінесе шифрланған түрде), бұл оның мазмұнының ағып кету қаупін айтарлықтай азайтады.
Құпия сөз реттеушілері пайдаланушыларға өздерінің пайдаланушы аттары мен құпия сөздерін әртүрлі сайттарда бір жерде сақтауға мүмкіндік береді - пайдаланушы жасаған басты құпия сөз арқылы қол жеткізіледі. Last Pass негізгі құпия сөзді сақтамайды немесе тастамайды. Басқа шифрланған деректерді тек "пайдаланушының басты құпия сөзінен алынған бірегей шифрлау кілті" арқылы алуға болады. Дегенмен, компания тұтынушыларға әлеуметтік инженерия, фишинг және ақпарат алудың басқа әдістерінің құрбаны болуы мүмкін екенін ескертті. Сонымен қатар, хакерлер басты құпия сөзді алу және шифрланған жадта орналасқан басқа деректердің шифрын ашу үшін дөрекі күш шабуылын пайдалана алады. Дегенмен, LastPass шабуылдаушыларға жалпыға қолжетімді бұзу әдістерін пайдаланып құпия сөзді табу үшін «миллиондаған жылдар қажет» деп мәлімдейді.
Компания киберқауіпсіздікті қамтамасыз ететін Mandiant компаниясы оқиғаны зерттеп жатқанын және LastPass өзі бүкіл жұмыс ортасын толығымен қалпына келтіріп жатқанын айтты - бұл жанама түрде хакерлер кодтың маңызды бөліктеріне және басқа деректерге қол жеткізгенін көрсетеді.
LastPass сонымен қатар тергеу жүріп жатқанын және компания құқық қорғау органдары мен тиісті реттеушілерді оқиға туралы хабардар еткенін айтты. Оның өзі пайдаланушыларға басты құпия сөзді 12 таңбадан кем емес етіп жасауды, Құпия сөзге негізделген кілтті шығару функциясының (PBKDF2) кілт жасау стандартының параметрлерін өзгертуді және, әрине, басты құпия сөзді басқа сайттарда қолданбауды ұсынады. Толығырақ ағымдағы ұсыныстар берілген қызмет блогында.
Сіз Украинаға орыс басқыншыларына қарсы күресуге көмектесе аласыз. Мұны істеудің ең жақсы жолы - Украина Қарулы Күштеріне қаражат беру Lifelife немесе ресми парақшасы арқылы NBU.